История разработки SIEM-систем
Применение SIEM — систем (Security Information and Event Management) при решении задач обеспечения информационной позволяет обеспечить клиента всесторонней информацией об активности устройств и пользователей в контролируемой корпоративной сети, а также проводить анализ событий информационной безопасности в режиме реального времени.
При помощи этих систем специалисты в области ИБ восстанавливают картину происходившего в сети и предотвращают развитие инцидентов до момента нанесения серьёзного ущерба компании.
Что такое SIEM система – определение, принципы работы и задачи
SIEM (Security Information and Event Management) — программные решения, которые осуществляют мониторинг информационных систем и анализируют в режиме реального времени события ИБ получая данные от сетевых устройств, средств защиты информации, ИТ-сервисов, специального программного обеспечения и других источников.
При внедрении SIEM-системы внедряются в виде совокупности аппаратных устройств, программного обеспечения или SaaS-решений.
Основная задача SIEM-систем – осуществлять сбор и обработку событий, генерацию и отправку оповещений и отчётов, а также осуществлять функцию визуализации нарушений ИБ, для более глубокого анализа компьютерных инцидентов.
Сбор и обработка событий ИБ осуществляется в центральный репозиторий, где она данная информация обрабатывается и хранится в различных формах. При необходимости администратор ИБ может своевременно провести анализ этой информации, выявить потенциальные угрозы, а также сгенерировать необходимую отёчность для проведения криминалистической экспертизы или выявления новых угроз ИБ. [1]
Основными функциями типовой SIEM-системы являются:
- мониторинг, корреляция данных и анализ активности информационных систем и приложений;
- обнаружение актуальных внешних и внутренних угроз информационной безопасности;
- отслеживание действий пользователей при организации доступа к критически важным данным, таким как интеллектуальная собственность, государственная тайна или персональные данные;
- мониторинга доступа к серверам и базам данных;
- контроль соответствия требованиям государственных регуляторов и нормативных документов;
- предоставления аналитической информации специалистам в области ИБ для своевременного реагирования на инциденты и поиска актуальных угроз.
Основным источником данных для SIEM-системы являются журналы функционирования приложений и программных подсистем, регистрационные данные пользователей, а также информация по критически важным ИТ-активам, приложениям, угрозам и уязвимостям (служба каталогов, базы данных управления конфигурациями (CMDB), информация о кадрах и последние данные по актуальным угрозам).
Обзор SIEM-систем – мировой и российский рынок
На современном этапе развития технологий в области ИБ SIEM-системы представляют собой совокупность из более мелких программных модулей и систем, которые могут использоваться как вместе в рамках одной сложной системы, так и по отдельности:
1. Платформы сбора и анализа событий.
Это вид программных продуктов, основная задача которых обеспечивать сбор и обработку интересующих данных, связанных с безопасностью функционирования целевой информационной системы (журналы работы системных служб и подсистем).
2. Платформы для расширенного обнаружения и устранения угроз (XDR).
Система XDR представляет собой единую платформу обнаружения инцидентов в безопасности и реагирования на них. Основной задачей XDR-системы является сбор и обработка архивных и актуальных данных для реагирования на компьютерные инциденты на следующих уровнях функционирования информационной системы уровнях:
- конечные точки доступа;
- сетевой уровень (шлюзы безопасности, сетевые сенсоры и сканеры);
- замкнутые программные среды;
- сканеры уязвимостей;
- облачные среды и средства виртуализации;
- почтовые решения;
- системы управления доступом;
- DLP-системы.
Внедрение одного или нескольких модулей XDR-системы позволит автоматизировать процессы сбора и анализа событий (в том числе с помощью механизмов машинного обучения), что позволит снизить временные затраты на реагирование и расследование инцидентов.
3.Управляемые службы обнаружения и реагирования. Основными задачами данного специального программного обеспечения являются контроль и расследование инцидентов ИБ, а также проверка и предоставление рекомендаций по локализации и исправлению недостатков в области безопасности. В основном, данные функции реализуются с помощью endpoint-клиентов установленных на рабочие станции пользователей или активное сетевое оборудование.
В настоящее время рынок SIEM-систем проходит различные стадии модернизации и деформации. Т.к. наиболее востребованной функцией внедрения SIEM-систем является эффективное и современное обнаружение угроз ИБ обнаружения рынок сместился в сторону разработки и внедрения систем из сегмента платформ расширенного обнаружения и устранения угроз (XDR).
Самыми крупными производителями SIEM-систем на международном рынке являются компании Splunk, Micro Focus, IBM и LogRhythm, которые занимают 32% рынка всех реализуемых SIEM-технологий. Наиболее популярными иностранными SIEM-системами, представленные в России являются [2]:
- IBM QRadar SIEM;
- McAfee Enterprise Security Manager;
- Micro Focus ArcSight 2021.1;
- FortiSIEM (Fortinet).
В то же время современная ситуация в экономике и политике, диктует условия, при которых отечественные компании нуждаются в решениях, которые не только отвечают требованиям производительности, масштабируемости и отказоустойчивости, но и в дополнение ко всему перечисленному отвечают требованиям и имеют сертификаты соответствия отечественных регуляторов в области ИБ.
На сегодняшний из отечественных разработок можно выделить три наиболее перспективных и функциональных программных продукта:
- KOMRAD Enterprise SIEM
- RUSIEM
- MaxPatrol SIEM
Историческая справка
SIEM-системы, как новый вид технологий появилась около 10 лет назад. За это время они прошли путь от одномодульных простых систем, обеспечивающих только функции сбора и анализа данных о состоянии информационной инфраструктуры системы заказчика, до сложных многоуровневых систем внедрение которых требует достаточного количества как временных, так и финансовых ресурсов.
В настоящее время фирмы разработчики SIEM-систем занимаются вопросами интеграции между собой различных систем и подсистем (SOAR, UEBA, XDR), комплексное функционирование которых позволит обеспечить максимальный уровень защищенности информационной инфраструктуры заказчика.
В соответствии с проведенной статистикой [3] обеспеченность SIEM-системами в российских компаниях выросла на 7%, динамика не замедлилась даже в пандемию, что позволяет сделать вывод об актуальности данного направления и перспективах в развитии технологий управления информацией о безопасности.
SIEM-системы и ее подвиды являются весьма перспективным направлением на рынке информационной безопасности. Это обусловлено тем, что внедрение данных технологий в современных инфраструктурных решениях компаний позволяет обеспечить контроль не только сетевого уровня внутри информационной системы компании-заказчика, но и обеспечить контроль виртуальных устройств и облачных решений различной степени сложности.
В настоящее время ведется активная работа над разработкой многофункционального аналитического ядра, которое позволит в кротчайшие сроки обеспечить обнаружение инцидентов и реагирование на них, а также будет обладать удобными инструментами для расследования атак.
Наиболее перспективным направлением в данных исследованиях является модернизация технологии XDR и интеграция подобных систем с другими, такими как SOAR, DLP, IAM / IDM, UEBA, SASE, CASB в рамках одной большой SIEM-системы.
Этот новый класс систем позволит обеспечить объединение и централизацию управления различных средств информационной безопасности для построения более эффективной и функциональной системы защиты информации, позволяющей автоматически реагировать на атаки и расследовать инциденты.
Кроме того, внедрение подобных систем позволит снять часть временной нагрузки с администраторов безопасности за счёт использования машинного обучения и автоматизации процессов мониторинга и анализа показателей функционирования целевых информационных систем.
Используемые источники